Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors
Summaries
- 몇년 전 Shadow Brokers라는 해커그룹에 의해 NSA로 부터 유출된 파일에서 타국의 해커들을 추적하기 위해 사용된 도구가 확인되었다. 이번에 발견된 이 도구들은 미국의 NSA(National Security Agency)에 의해 개발되었으며, 그들이 해킹한 기기에서 타국의 해커들의 존재를 탐지하기 위한 목적으로 사용된 것으로 보인다. 작년에 유출된 이 파일들 중 “Territorial Dispute”라 명명된 일련의 모듈이 있다. CrySyS Lab의 연구자들이 이 파일들에 대한 조사를 진행했고, Territorial Dispute 툴이 다른 해커들이 존재하는지를 탐지하기 위한 목적을 가지고 설계되었다는 결론을 내렸다. CrySyS에 따르면, 이 툴은 비교적 간단하다. 목표 기기에서 이미 알려져있는 APT공격들과 관련된 특정 파일이나 윈도우즈 레지스트리, 기타 침해지표(IOCs, Indicators of Compromise)들을 검색한다. 연구자들은 이 툴들의 목표가 우방들과의 충돌을 피하고, NSA의 악성코드가 탐지되는 일을 피하기 위한 것으로 보고있다.
Detailed News list
- NSA
Exploits/Vulnerabilities
Summaries
- 오픈소스 메일서버인 Exim에서 원격 코드실행이 가능한 버퍼오버플로우 취약점이 발견되었다. 약 40만대의 서버가 취약한 상태인 것으로 추정된다. 4.90.1 이전의 모든 버젼의 Exim MTA(Message transfer agent)가 공격에 취약하다. Devcore Security Consulting의 Meh Chang이 2월 2일 이 버그에 관해 Exim에 알렸고, 5일 후 패치가 릴리즈 되었다. 그러나 Chang에 따르면 아직 약 40만대의 서버가 취약한 버젼의 Exim을 운영중인 것으로 추정된다.
- Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)
Detailed News List
- Exim
- [NakedSecurity]
Patch now! Half a million Exim mail servers need an urgent update - [TheRegister]
Buffer overflow in Unix mailer Exim imperils 400,000 email servers - [GrahamCluley]
400,000 servers at risk if open-source Exim remote attack bug is left unpatched - [ZDNet]
Open-source Exim remote attack bug: 400,000 servers still vulnerable, patch now - [HelpNetSecurity]
Exim vulnerability opens 400,000 servers to remote code execution - [SecurityAffairs]
RCE flaw in Exim MTA affects half of the email servers online
- [NakedSecurity]
- Memcached
Vulnerability Patches/Software Updates
Summaries
- 구글이 크롬 패치를 릴리즈하면서 45개의 취약점을 수정했다. 이 취약점들 중 27개는 외부 연구자들에 의해 발견된 것들이다. 수정된 버그들 중 중요한 것들로 두가지의 High risk등급의 Flash use after free 버그가 있다. CVE-2018-6058, CVE-2018-6059 둘 다 JieZeng이라는 Tencent Zhanlu Lab 연구자에 의해 제보된 취약점이다.
Detailed News List
- Google Chrome